CyberWarfare Report
Nel presente documento si riportano le attività di Threat Intelligence, offrendo un punto generale sullo scontro tra Russia e Ucraina, analizzando i diversi tipi di attacchi cibernetici e rivelando diversi aspetti sulla cyberwarfare iniziata contestualmente all’invasione Russa.
Nel report sono analizzati i diversi tipi di attacchi cibernetici; in un primo momento, viene fornita all’interlocutore una panoramica descrittiva del malware o del tipo di attività malevola. In seguito, vengono analizzati gli stessi, fornendo i dati tecnici e le metodologie impiegate.
Con le attività di Threat Intelligence si offre uno spunto sulla prevenzione e il monitoraggio che un’infrastruttura, sfruttando la conoscenza e la ricerca di informazioni, può utilizzare al fine di bloccare e mitigare il potenziale proliferarsi di minacce quali trojan, malware, spyware o botnet, ed anticipare i movimenti laterali pianificati da un eventuale attaccante che, attraverso tecniche di social engineering o utilizzando software malevoli sempre più evoluti e complessi, potrebbe essere in grado di violare dati sensibili.
L’attività di Threat Intelligence risulta essere il focal point che determina l’efficacia delle attività di tipo interventistico di Threat Prevention.
La profonda capacità di un team di specialisti di sicurezza informatica, di saper analizzare tutte le fonti disponibili può essere di indicazione per l’identificazione della risoluzione, la pianificazione ed il completamento di tutti i task subordinati e la successiva valutazione dell’efficacia delle azioni intraprese.
Periodo oggetto dell’analisi: Dal 23 Febbraio 2022, in corso di aggiornamento.
Le molteplici tipologie di attacchi che sono state utilizzate da entrambi le fazioni, prima contro l’Ucraina, successivamente contro la Russia, sono state riportate dando una breve descrizione dei vari malware sfruttati e dei vari collettivi di hacker che stanno supportando rispettivamente le due parti.
Il conflitto al momento della scrittura del report risulta essere ancora in corso e pertanto potrebbe essere soggetto a sviluppi futuri riguardo a nuovi potenziali gruppi indipendenti e malware.
INFORMATION WARFARE
In questa sezione viene fornita all’interlocutore una panoramica descrittiva dei malware o del tipo di attività malevola, raccogliendo tutte le informazioni reperite attraverso l’utilizzo di fonti OSInt, deep web e dark web.
ATTACCHI INFORMATICI INDIRIZZATI CONTRO L’UCRAINA
“Il primo cyberattacco è iniziato poche ore prima dell’invasione militare russa e dopo gli attacchi DDoS contro i principali siti web ucraini all’inizio della giornata dello scorso 23 febbraio” by ESET Research Labs from Twitter
“Identificati tre nuovi malware contro l’Ucraina” by Difesa e Sicurezza
La Russia in concomitanza con l’inizio del conflitto in territorio ucraino, ha perpetrato attacchi informatici utilizzando diverse modalità con metodi non convenzionali.
Di seguito vengono mostrati i malware e i gruppi hacker identificati durante gli attacchi.
:: HermeticWiper aka IsaacWiper aka Lasainraw → Wiper
È stato identificato un nuovo malware in rapida diffusione sulle reti e dispositivi in territorio Ucraino che sarebbe già responsabile della violazione di diversi dispositivi e siti istituzionali.
A far pensare ad un attacco mirato che porta la firma della Russia, è stata proprio la territorialità dell’attacco che ha dei confini ben precisi e sembra non essere stato registrato in alcun contesto diverso da quello dell’Ucraina.
Il malware, soprannominato HermeticWiper aka IsaacWiper aka Lasainraw, è stato identificato la prima volta il 24 Febbraio di quest’anno. Gli attacchi sono stati rilevati su centinaia di sistemi tra strutture militari e governative, ma soprattutto nel settore finanziario, energetico e sanitario.
Secondo gli esperti si tratterebbe di un’attività pianificata meticolosamente e non un attacco improvvisato ad opera di qualche gruppo “hacktivism”. In altre parole, l’ipotesi più probabile è che il nuovo malware faccia parte della strategia di invasione russa e costituisca uno strumento “di supporto” alle attività militari e di intelligence del Cremlino.
Si ritiene che gli aggressori abbiano utilizzato strumenti di movimento laterale e distribuzione di malware come Impacket e RemCom, programmi di accesso remoto, all’interno di organizzazioni già compromesse.
Come suggerisce anche lo studio della datazione delle firme utilizzate nel malware, i primi timestamp di compilazione di HermeticWiper risalgono al 28 dicembre 2021. La data di emissione del certificato di firma del codice, risale al 13 aprile 2021 e la distribuzione di HermeticWiper avviene attraverso la policy di dominio predefinita; in almeno un caso, gli attaccanti hanno avuto accesso ad uno dei server Active Directory della vittima, un sistema server centralizzato, che si fonda sui concetti di dominio e di directory, adottati dai sistemi operativi Microsoft.
Questo malware attiva dei processi in grado di eliminare qualsiasi file presente nel dispositivo che infetta.
Da un punto di vista tecnico si tratta di un malware scritto in C++ specificatamente indirizzato ai sistemi Windows (il nome file originale con il quale è stato diffuso è “Cleaner.dll”). Distribuito tramite file “.EXE” o librerie “.DLL”, è tipicamente depositato in “%programdata%” o “C:\Windows\System32”.
Le sue principali peculiarità sono enumerare le unità fisiche presenti sul sistema, cancellare i primi 0x10000 byte di ciascun disco fisico rilevato, utilizzando il generatore pseudocasuale “ISAAC” ed enumerare le unità logiche per eliminare ricorsivamente i file in esse contenuti, sovrascrivendoli con byte casuali tramite l’algoritmo “ISAAC PRNG”.
:: HermeticWizard aka Foxblade → Worm
HermeticWizard è un nuovo malware identificato nell’ultimo periodo che si occupa della distribuzione di HermeticWiper su reti locali tramite WMI, un set di estensioni di Windows Driver Model, e SMB, un protocollo utilizzato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra diversi nodi di una rete.
Viene chiamato anche Foxblade ed è un Worm distribuito tramite file “.DLL” “Wizard.dll”, che tramite la riga di comando “regsvr32.exe /s /i “ diffonde il wiper.
HermeticWizard è un worm che è stato rilevato sul territorio ucraino a partire dal 23 febbraio 2022.
All’attivazione del malware, viene avviata la scansione per la ricerca di macchine su rete locale; successivamente inizia a raccogliere indirizzi IP locali noti, utilizzando su Windows queste funzioni: DNSGetCacheDataTable, GetIpNetTable, WNetOpenEnumW, NetServerEnum, GetTcpTable, GetAdaptersAddresses, WNetOpenEnumW (RESOURCE_GLOBALNET, RESOURCETYPE_ANY).
Dopo che HermeticWizard ha trovato una macchina raggiungibile, viene rilasciato lo spreader WMI su un disco e viene creato un nuovo processo con la seguente riga di comando: \<6 random letters>.ocx #1 -s – i .
Secondo ESET, anche Foxblade è stato firmato da un certificato di firma del codice assegnato a Hermetica Digital Ltd, che è stato emesso il 13 aprile 2021.
:: HermeticRansom aka PartyTicket aka SonicVote → Ransomware
HermeticRansom è un malware appartenente alla famiglia dei ransomware ed è noto anche come SonicVote o PartyTicket.
Attualmente viene utilizzato simultaneamente alla campagna HermeticWiper, tuttavia, risulta essere distribuito con una frequenza notevolmente più ridotta. All’interno del codice malevolo sono state individuate stringhe con riferimenti legati agli Stati Uniti (visibili nella Distribution Chain).
Identificato nella cyberwarfare tra Russia e Ucraina, HermeticRansom, è scritto in Go e viene distribuito tramite i file cc2.exe, com.exe e cpin.exe .
Il ransomware, al termine del processo di crittografia, rilascia una nota di riscatto in cui si richiede alla vittima di contattare via e-mail gli attaccanti, per l’ottenimento delle istruzioni atte alla decriptazione dei file. ESET ritiene che il ransomware sia stato distribuito contemporaneamente per nascondere le azioni di HermeticWiper, poiché quest’ultimo non utilizza meccanismi di offuscamento.
Secondo i ricercatori di CrowdStrike, la chiave AES di HermeticRansom utilizzata per la crittografia è recuperabile. Lo script Go fornito da CrowdStrike decodifica i file crittografati da HermeticRansom accettando il file da decodificare come argomento tramite il flag “-p” e salvando l’output decriptato in “decrypted.bin” nella stessa directory. Lo script può essere compilato come eseguibile o eseguito tramite il pacchetto Go run.
Il termine “Hermetic” deriva da Hermetica Digital Ltd, una società cipriota a cui è stato rilasciato il certificato di firma del codice. Il proprietario di Hermetica, è un game designer di 24 anni che gestisce la sua attività da una casa vicino a una chiesa cipriota alla periferia di Nicosia. Secondo un rapporto di Reuters, sembra che il certificato Hermetica Digital sia stato rubato da attori malevoli. Reuters ritiene che gli aggressori abbiano impersonato l’azienda cipriota per ottenere il certificato da DigiCert.
Microsoft ha pubblicato un rapporto in cui discuteva della scoperta di un nuovo pacchetto di malware chiamato FoxBlade che era diretto contro l’infrastruttura digitale dell’Ucraina. Ciò nonostante, i ricercatori di cyber intelligence hanno scoperto che FoxBlade è in realtà HermeticWiper. Infatti, a causa dei due exploit che hanno gli stessi hash di file, gli analisti sono riusciti a determinare la stessa natività.
Sebbene gli attacchi avvengano in un periodo in cui la Russia è in contrasto con l’Ucraina, HermeticWizard, HermeticRansom e IsaacWiper non possono essere attribuiti con certezza alla Russia e gli aggressori rimangono sconosciuti. Tuttavia, IsaacWiper con molte probabilità è stato utilizzato mesi prima per condurre diversi tipi di attacchi.
:: Wizard Spider → Cybergang indipendente
Il gruppo di origine russa Wizard Spider ha rilasciato un annuncio che ha descritto in dettaglio la propria posizione politica in merito al conflitto tra Russia e Ucraina.
Ha annunciato chiaramente che avrebbe esercitato le proprie capacità contro qualsiasi tentativo da parte degli Stati Uniti e in generale di qualsiasi altro Paese che potrebbe rappresentare una minaccia per il governo Russo.
In dettaglio l’organizzazione ha annunciato di essere in pieno sostegno del governo russo e che qualsiasi azione contro la Russia, virtuale o meno, incorrerebbe in un contrattacco contro le infrastrutture critiche dei suoi aggressori.
Il collettivo Wizard Spider è fra i più sofisticati ed efficienti gruppi ransomware. Al suo interno è probabilmente diviso in diversi gruppi operativi specializzati in diverse attività. E’ possibile affermare che esso sia fra i gruppi in grado di vantare fra le sue fila, alcuni dei più talentuosi cyber-criminali operanti nel panorama underground di lingua russa.
I suoi membri prestano particolare attenzione alla furtività dei loro payload e delle loro operazioni post-exploitation il che complica le manovre di difesa ed abbassa le probabilità di allerta precoce su eventuali intrusioni ad esso riconducibili.
:: Killnet → Hacker’s State-Sponsored
Dal 25 Febbraio il gruppo Killnet, un collettivo di hacker sponsorizzati dalla Federazione Russa, afferma sui propri canali che stanno attaccando Anonymous a livello L7 del modello OSI. Inoltre, riportano una notizia relativa ad uno dei propri attacchi in cui hanno abbattuto il sito web degli Anonymous.
Il gruppo Killnet è apparso all’inizio del 2022 e fornisce servizi a pagamento illegali per effettuare attacchi DDoS.
Essendo un gruppo di esperti di sicurezza informatica che viene utilizzato in diversi casi dai governi, è in grado di perpetrare dei tipi di attacchi atti all’ottenimento di informazioni riservate sfruttando gli strumenti più disparati e avanzati.
ATTACCHI INFORMATICI INDIRIZZATI CONTRO LA RUSSIA
“Il ruolo degli attacchi cyber occidentali nella guerra russo-ucraina” by Cybersecurity360
“Anonymous non è solo. Network battalion 65 (NB65), si unisce alla guerra” by Redhotcyber
L’Ucraina è riuscita a mettere insieme un “esercito informatico” volontario di hacker civili da tutto il mondo; ha proposto una nuova serie di obiettivi che include la rete ferroviaria bielorussa, il sistema di navigazione satellitare globale russo GLONASS e operatori di telecomunicazioni come MTS e Beeline.
Di seguito vengono mostrati i malware e i gruppi cybercriminali identificati durante gli attacchi
:: Anonymous → Movimento decentralizzato di hacker che cooperano per perseguire un obiettivo concordato
Gli hacktivisti del gruppo Anonymous, che hanno dichiarato guerra cibernetica alla Russia all’inizio del conflitto militare, hanno violato le trasmissioni online di diversi canali televisivi statali e hanno pubblicato un proclamo contro la guerra.
Gli hacker hanno affermato di aver violato i servizi di streaming russi Wink e Ivi e la trasmissione online di canali come Perviy, Rossiya 24 e Moskva 24.
Invece delle consuete notizie, da questi canali, le televisioni online hanno lanciato video con appelli contro la guerra. L’hacking non è durato a lungo e la normale trasmissione è stata ripristinata in breve termine.
Anonymous si è assunto anche la responsabilità dei massicci attacchi DDoS ai siti web russi, un tentativo di rovinare i prodotti dell’azienda agricola Selyatino e l’hacking nelle stazioni di servizio vicino all’aeroporto di Sheremetyevo.
L’hack degli hacktivisti di maggior successo è stata la massiccia deturpazione dei principali media russi, sulle cui pagine principali sono stati pubblicati degli slogan della campagna a favore dell’Ucraina.
Il 25 febbraio, il gruppo Anonymous ha annunciato che stava lanciando attacchi contro il governo della Federazione Russa e che anche il settore privato russo sarebbe stato colpito. A seguito di questo annuncio, il gruppo ha violato 2.500 siti Web in Russia e Bielorussia.
Anonymous afferma di aver messo offline anche il sito web dell’FSB, servizio federale per la sicurezza della Federazione Russa, attraverso un massiccio attacco DDoS.
Giorno dopo giorno vengono registrati gravi attacchi cyber alle infrastrutture russe.
Dopo la diffusione di un video nel quale il collettivo hacker avvisa il presidente della Federazione Russa, Vladimir Putin, alcuni account di Anonymous riportano che hanno violato i colossi dell’energia del Paese. Sembrerebbe si tratti di Gazprom, Rosneft e Lukoil, ovvero le principali aziende che si occupano della gestione del gas e del petrolio nel territorio Russo.
Inoltre, Il collettivo di hacker ha rivendicato di aver reso irraggiungibili circa 300 siti internet di compagnie, banche e media statali russi tra cui TASS, Kommersant, Fontanka, RBC, Forbes, Izvestia, Znak.com, BURO 24/7, Mel, E1, così come l’edizione bielorussa di Onliner.bu.
:: Network Battalion 65 → Collettivo di hacker indipendenti
Dopo la scesa in campo di Anonymous a supporto del popolo Ucraino, si aggiunge alla cyber-guerra un nuovo gruppo, ovvero NB65 (Network Battalion 65).
Il 27 Febbraio il gruppo del 65° Battaglione, affiliato ad Anonymous, tramite un tweet ha fatto trapelare circa 40000 documenti attribuibili all’Istituto per la Sicurezza Nucleare di Mosca.
Il 1 Marzo 2022, NB65 ha chiuso il centro di controllo dell’agenzia spaziale russa Roscosmos, limitando l’accesso al controllo dei satelliti spia russi.
:: Cyber Partisans → Collettivo di hacker decentralizzato bielorusso
Noto per i numerosi attacchi informatici contro istituzioni e agenzie governative, il gruppo Cyber Partisans ha rivendicato la responsabilità di alcuni attacchi informatici alle banche russe, all’emittente statale RT e a una rete ferroviaria bielorussa utilizzata per spostare le truppe dalla Russia all’Ucraina.
Attualmente, hanno affermato di essere al fianco dell’Ucraina contro le forze online della Russia.
Parallelamente agli eventi sopradescritti, l’Ucraina ha richiesto diversi appelli alla Internet Corporation for Assigned Names and Numbers (ICANN), la quale chiedeva che la Russia fosse esclusa dal registro globale dell’organizzazione.
Tuttavia, l’ICANN ha negato la richiesta dell’Ucraina di limitare il funzionamento del segmento russo di Internet poiché, l’imposizione di sanzioni o la limitazione dell’accesso a segmenti di Internet, non è di loro competenza.
Ovviamente occorre far attenzione tra propaganda e realtà, in quanto, come abbiamo visto, la Russia ha smentito l’attacco al Ministero della Difesa di qualche giorno fa riportando che i dati pubblicati erano di una vecchia perdita e che le informazioni sensibili dei militari non possono essere esposte da un sito web da legge russa.
Inoltre, gli attacchi sferrati ai 300 siti sono principalmente di tipo DDoS, i quali hanno causato un disservizio da parte dei siti momentaneo.
CATENA DI DISTRIBUZIONE E DI INFEZIONE
In questa sezione vengono forniti all’interlocutore alcuni dati tecnici dei malware e le metodologie impiegate.
:: HermeticWizard → HermeticWiper
Le attività di seguito riportate offrono una visione sullo svolgimento dell’infezione.
– Gli aggressori hanno utilizzato RemCom e potenzialmente Impacket come parte della loro campagna.
– Hanno acquisito un certificato di firma del codice per le loro campagne.
– Successivamente sono stati in grado di distribuire il malware wiper tramite GPO.
– Una volta ottenute le informazioni necessarie, hanno utilizzato la riga di comando durante il loro attacco (ad esempio, possibile utilizzo di Impacket).
– Gli attaccanti hanno utilizzato API native nel loro malware.
– HermeticWiper utilizza un driver, caricato come servizio, per corrompere i dati.
– HermeticWizard tenta di diffondersi ai computer locali utilizzando WMI.
– Esegue la scansione degli intervalli IP locali per trovare le macchine locali.
– Tenta di diffondersi ai computer locali utilizzando SMB.
– Cerca di diffondersi ai computer locali utilizzando SWbemLocator per avviare in remoto un nuovo processo tramite WMI.
– HermeticWiper danneggia i dati nell’MBR e nell’MFT del sistema.
– Corrompe i file in Windows, Program Files, Program Files(x86), PerfLogs, Boot, System Volume Information e AppData.
– Danneggia i dati utente trovati sul sistema.
– Utilizzando massicci attacchi di tipo DDoS, gli aggressori hanno reso indisponibili numerosi siti Web governativi.
:: HermeticRansom
Le attività riportate di seguito offrono una visione sul procedimento dell’infezione.
– Gli attori malevoli distribuiscono HermeticWiper in C:\Windows\Temp\cc.exe .
– Veicolano HermeticRansom in C:\Windows\Temp\cc2.exe con il servizio netsvcs .
– Distribuiscono un secondo HermeticWiper.
In alcuni casi HermeticRansom viene distribuito tramite GPO, proprio come HermeticWiper:
C:\WINDOWS\system32\GroupPolicy\DataStore\0\sysvol\Policies{31B2F340-016D-11D2-945F[1]00C04FB984F9}\Machine\cpin.exe .
Alcune stringhe vengono rilasciate nel binario dagli aggressori e fanno riferimento al presidente degli Stati Uniti, Joe Biden e alla Casa Bianca:
/C/projects/403forBiden/wHiteHousE.baggageGatherings /C/projects/403forBiden/wHiteHousE.lookUp /C/projects/403forBiden/wHiteHousE.primaryElectionProcess /C/projects/403forBiden/wHiteHousE.GoodOffice
Una volta che i file sono stati crittografati viene mostrato alla vittima il messaggio di seguito riportato:
RISORSE TECNICHE
:: IsaacWiper
https://www.difesaesicurezza.com/cyber/cyber-warfare-la-russia-usa-3-nuovi-malware-contro-lucraina/
https://en.wikipedia.org/wiki/Wiper_(malware)
https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/
:: HermeticWizard
https://www.avertium.com/blog/hermeticwizard-hermeticransom-isaacwiper-target-ukraine
https://www.ceotech.it/tutti-gli-attacchi-subiti-dalle-reti-governative-dellucraina/
https://it.wikipedia.org/wiki/Worm
:: HermeticRansom
https://www.kaspersky.it/blog/hermeticransom-hermeticwiper-attacks-2022/26497/
https://threatpost.com/free-hermeticransom-ransomware-decryptor-released/178762/
https://it.wikipedia.org/wiki/Ransomware
:: Ulteriori risorse tecniche
https://www.redhotcyber.com/post/anonymous-e-stato-colpito-dagli-hacker-russi-di-killnet/
https://www.difesaesicurezza.com/cyber/cyberwarfare-la-russia-lancia-ondate-di-attacchi-ddos-contro-lucraina/
https://www.cybersecurity360.it/nuove-minacce/anonymous-il-ruolo-degli-attacchi-cyber-occidentali-nella-guerra-russo-ucraina/
LockBit 2.0
